供应商电子邮件泄露分析

打法迟缓、获利丰厚的攻击

商业电子邮件泄露 (BEC) 攻击已经发生变化

全球各地的组织长期面临网络钓鱼诈骗的困扰，从针对员工的鱼叉式网络钓鱼到更普遍的预付金诈骗，后者要求支付少量费用作为更大款项的预付金。

最近，一种新技术——供应商电子邮件泄露 (VEC) 给希望保护其用户免遭诈骗的企业造成了更大风险。

与商业电子邮件泄露 (BEC) 攻击一样，VEC 的工作原理是冒充受信任的第三方，向目标发送看似合法的恶意电子邮件。传统的 BEC 攻击通常声称是组织内部受信任的个人，VEC 则更进一步：他们冒充供应商（或其他受信任的第三方），欺骗目标为虚假发票付款，披露敏感数据，或授权访问公司网络和系统。

根据最近一项调查，98% 的受访企业曾因供应链中的网络安全漏洞而受到负面影响。这给组织造成了严重的代价。例如，在一次攻击中，丰田集团的一家制造商收到恶意第三方的虚假支付指令后，损失了逾 3700 万美元。据联邦调查局报告，BEC 攻击（包括 VEC）在过去五年中总共造成了 430 亿美元的损失。

由于 VEC 极具个性化，要识别一个恶意请求可能异常困难，即使是经验丰富的安全专家也难以识别。而这些攻击正变得越来越普遍，部分原因是全球均转向远程办公和基于云的电子邮件系统，但这些系统可能没有原生的反网络钓鱼功能或未启用该安全功能。

面对这些不断变化的网络钓鱼技术，要保持领先就必须采取多管齐下的电子邮件安全策略，检测和标记可疑的电子邮件扩展名和 URL 变化，验证域名，并严格审查第三方请求。

VEC 工作原理

供应商电子邮件泄露，也被称为“财务供应链泄露”，在性质上比标准的 BEC 攻击更加复杂且更具针对性，并非必须针对个人才能发挥作用。

在 BEC 攻击中，攻击者冒充组织中的特定个人——通常是首席执行官或有权威的人。然后，他们向组织内的多个目标发送该人的请求。

例如，攻击者可能向员工发送普通的付款请求，同时声称自己是公司的首席执行官。虽然这些要求听起来合法，但只要员工向首席执行官本人确认请求，就能轻松证明为虚假请求。

相比之下，VEC 通常需要比较了解现有业务关系，例如正在进行的项目的细节、预算数据和财务交易安排。这个研究过程可能需要几周到几个月，但攻击者的潜在回报远远大于更普遍的攻击方法，因为目标可能需要更长时间才能识别攻击并阻止付款。

一旦攻击者说服目标与他们互动，他们就可以进一步开展恶意行动：要求为虚假发票付款，篡改结算账户细节，收集目标组织的敏感信息，等等。

上图为一个 VEC 攻击序列，攻击者入侵供应商的电子邮件账户，执行虚假付款请求。

现实世界中的 VEC 攻击方法

在最近的一系列攻击中，联邦调查局发现，攻击者冒充美国的建筑公司——建筑行业年均收入达 1.9 万亿美元。攻击者研究了该国的顶级建筑公司，并收集了这些公司客户群的公共和私人数据。

然后，攻击者使用域欺骗创建电子邮件账户，他们可以通过这些账户与目标组织进行欺诈性通信，通常要求更改银行账户的详细信息。攻击者利用 VEC 战术，为每个目标量身定制电子邮件、发票请求和直接存款账户变更（根据他们之前收集的数据），向各大组织诈骗了“数十万至数百万美元”。

联邦调查局指出，受害者常常要“几天或几周”后才发现遭遇了攻击。而且，财务追偿方法也很少。例如，有个学区误将 840,000 美元汇给了一家虚假建筑公司后，只追回了 5000 美元的被盗资金。

如何识别 VEC 企图

与大多数高级网络钓鱼攻击一样，VEC 很难被发现。攻击者经常组合各种攻击方法，让他们的信息显得真实，通过欺骗声誉良好的供应商的域，或通过提供可能未公开的细节信息来“证明”消息的合法性。

VEC 攻击通常可以逃避检测主要有三个原因。

1. 最初供应商没有意识到他们受到了攻击。

2. 攻击活动发生的时段段很长，且涉及多个电子邮件线程，其中大部分对话都是正常的，没有恶意有效载荷。

3. 行动召唤（例如为定期发票付款）不会被标记为可疑，因为它们设计得很正常，语气也不急。

为防范 VEC，组织需要能够帮助验证入站电子邮件并减少欺诈活动的安全合作伙伴。预范 VEC 的实用策略包括：

• 配置电子邮件设置，以识别并阻止网络钓鱼企图。使用严格的安全协议来扫描和标记恶意的电子邮件消息。

  • 可以使用发送方策略框架 (SPF)、域名识别邮件 (DKIM) 和基于域的消息身份验证报告和一致性 (DMARC) 等电子邮件身份验证协议来防范电子邮件欺骗。

  • 摒弃安全性较低的电子邮件协议，例如 POP、IMAP 和 SMTP

  • 使用入侵检测系统 (IDS) 规则来标记看似可疑的 URL

  • 使用多因素身份验证 (MFA)，以验证第三方访问和账户层面的更改请求（例如重置密码）。

• 审核第三方交易请求。在批准转账请求之前，先向有关方面核实所有交易信息和账户详情。此外，现有供应商修改银行信息时，要通过正式的审核批准程序。

• 向员工讲解新出现的骗局。为躲避缓解策略，网络钓鱼技术一直在不断变化。定期开展培训，向员工讲解电子邮件威胁的常见迹象，以降低攻击成功的概率。

  • 积极实施组织已经开发的任何缓解方法和内部流程来识别基于电子邮件的攻击。

  • 培训用户检查电子邮件，发现常见的网络钓鱼元素——域名中的错别字、包含与真实 URL 相似的超链接（例如 是“RealCo.com”而不是“RealCompany.com”）等。

  • 鼓励员工养成良好的电子邮件习惯，不要响应自动提出的或紧急的有关个人或财务信息的电子邮件请求。

使用 Cloudflare 检测和防范 VEC

Cloudflare 电子邮件安全可防范各种攻击，包括长期有针对性的供应商电子邮件泄漏企图。它结合使用了 Web 爬取、模式分析和高级检测技术，可扫描互联网上的攻击者基础设施，分析消息来识别可疑元素，并阻止网络钓鱼邮件进入收件箱。

这种先进的电子邮件保护策略由 Cloudflare 的全球网络提供支持，该网络平均每天阻止了 860 亿次网络威胁——为组织提供独特的威胁情报数据，帮助组织更有效地过滤有针对性的网络钓鱼攻击和其他网络威胁。而且，作为 Cloudflare Zero Trust 平台的一部分，它还有助于为远程员工和办公室用户提供持续、全面的安全保障。

Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章，本文为其一。

关键要点

阅读本文后，您将能够了解：

• VEC 攻击如何渗透组织

• VEC 攻击的警告信号

• 如何识别和阻止复杂的网络钓鱼诈骗

相关资源

• 网络钓鱼风险评估

• 网络研讨会：网络钓鱼和商业电子邮件攻击

• 从网络钓鱼开始：2021 年电子邮件安全报告

• 数据表：Cloudflare 电子邮件安全